IPv6网络自治系统间源地址验证技术研究

现有互联网的寻址体系结构对接收和转发的IP分组的源地址并不进行严格的检查,很容易伪造IP分组的源地址。本文提出了在IPv6网络下在自治系统间实现源地址验证的方法,其对IPv6网络的安全,计费,管理和应用都会有所帮助。针对进行源地址验证的两个自治系统直接互联的情况,提出了基于自治系统互联关系的验证方法,针对进行源地址验证的两个自治系统非直接互联的情况,提出了基于签名的验证方法。本文阐述了其设计,实现,以及在CNGI-CERNEF2,一个大规模纯IPv6主干网上部署的情况。

基于边界路由动态同步的互联网地址域内真实源地址验证方法

互联网架构设计之初,假设所有网络成员都是可信的,并没有充分考虑不可信网络成员带来的安全威胁。在很长一段时间内,路由器只根据报文的目的IP地址转发消息,不对报文的源IP地址的真实性进行验证。数据分组真实性验证的缺乏会导致报文头部信息被恶意篡改。提出了基于边界路由动态同步的互联网地址域内真实源地址验证方法。该机制基于前缀拓扑信息同步的方法构建过滤表,解决了路由不对称导致过滤表和实际路由状态不一致的问题,避免了验证过程中的假阳性和假阴性,实现了低开销、低时延的地址域内IP地址前缀级粒度的真实源地址验证。

一种IPv4/IPv6过渡场景下IP源地址验证及追溯通用性框架方案

IP源地址欺骗是互联网安全问题的主要根源之一,目前已有方案仅关注IPv4或IPv6单协议栈等简单的网络场景,鲜有文献对IPv4向IPv6过渡场景下的源地址验证及追溯问题予以研究。鉴于IPv4/IPv6过渡阶段的长期性和必然性,本文提出一种基于SAVI(Source Address Validation Improvement)技术的IPv4/IPv6过渡场景下IP源地址验证及追溯的通用性框架方案。该方案通过提取现有IPv4/IPv6过渡方案中共有而本质的特征属性,并利用SAVI技术的扩展,达到了对不同属性组合过渡场景下IP源地址验证及追溯的目的。通过对主要IPv4/IPv6过渡方案的验证证明了本框架方案的合理性,同时因本方案能够支持IPv4/IPv6过渡所需的所有机制要素,故对未来可能出现的过渡场景也具有适应性。

一种基于IPv6的物联网分布式源地址验证方案

作者在融合物联网的新一代互联网网络环境下,提出了基于IPv6的源地址验证整体架构.基于该架构,考虑物联网节点资源受限特点,并结合物联网末梢网络的拓扑形态及其路由方式上的特征,设计了基于IPv6的物联网末梢网络分布式源地址验证方案.分别讨论了静态指定、SLAAC(Stateless Address AutoConfiguration)、DHCPv6(Dynamic Host Configuration Protocol Version 6)以及DHCPv6与SLAAC混合情况下的物联网节点IP地址分配及其验证机制.模拟实验表明,该方案仅以微小的代价实现了物联网节点IP地址的分配,同时还保证了物联网节点之间、物联网节点与互联网端系统之间端到端通信时双方IP地址的真实可靠性,从而整体上增强了物联网的安全性.

基于源地址伪造的Web服务DoS攻击防御方法

为缓解Web服务面临的DoS攻击,对Web服务安全标准(WSS)的核心内容进行研究,基于WSS中的安全令牌,设计并提出一种防范基于源地址伪造DoS攻击的安全令牌,并采用RSA算法对该令牌进行加密。实验结果表明,该安全令牌能够有效缓解基于源地址伪造的Web服务DoS攻击,提高Web服务的安全性。

基于SAVI的IPv6校园网源地址验证方案及其实现

接入网源地址验证技术SAVI是实现网络端系统IP地址一级的细粒度的源地址验证技术。基于SAVI技术,研究并实现了IPv6校园网的源地址验证方案。在校园网IPv6试验网的测试应用中,该方案有效实现了真实源地址验证,可从源头上保证接入网络的安全性。

基于源地址约束的垃圾邮件过滤模型

提出了一种基于关联规则的垃圾邮件挖掘算法,通过计算邮件源地址和邮件关键词的支持度来定位垃圾邮件源地址.该算法在Apriori算法基础上进行了改进,增加了邮件源地址和关键词约束,与基于关键词过滤算法相比提高了准确率,与基于语义分析的过滤算法相比降低了算法复杂度.实验结果表明,该算法的误判率在邮件数量增加到350封时会减小到4%,其过滤速度也会随着邮件的增加而提高.

随机伪造源地址分布式拒绝服务攻击过滤

由于能够有效隐藏攻击者,随机伪造源地址分布式拒绝服务攻击被广泛采用.抵御这种攻击的难点在于无法有效区分合法流量和攻击流量.基于此类攻击发生时攻击包源地址的统计特征,提出了能够有效区分合法流量和攻击流量,并保护合法流量的方法.首先设计了一种用于统计源地址数据包数的高效数据结构Extended Counting Bloom Filter(ECBF),基于此,提出了随机伪造源地址分布式拒绝服务攻击发生时合法地址识别算法.通过优先转发来自合法地址的数据包,实现对合法流量的有效保护.采用真实互联网流量进行模拟,实验结果表明,所提方法能精确识别合法地址,有效地保护合法流量,尤其能够较好地保护有价值的交易会话.所提方法的时间复杂性为O(1),并且只需数兆字节的内存开销,可嵌入边界路由器或网络安全设备,如防火墙中,实现随机伪造源地址分布式拒绝服务攻击的在线过滤.

基于真实IPv6源地址的网络接入认证技术研究

提出了一种新的基于真实IPv6源地址的网络安全接入认证方法。此方法在IPv6无状态地址自动配置过程中加入802.1X认证技术,只有经过授权的节点才能获得IPv6全局地址,同时改进了802.1X认证流程,使管理者可以主动获得节点用户的全局IPv6地址。该方法既保留了IPv6"即插即用"的优点,又从源头上保证接入网络的安全性。

基于流认证的IPv6接入子网主机源地址验证

提出了一种以密码学方法实现的IPv6接入子网主机高速源地址验证方案。把主机MAC地址作为身份同主机公钥相绑定,利用密码生成地址算法从主机公钥衍生出IPv6接入子网地址,通过数字签名提供主机真实性的验证,以消息认证码和流认证技术实现接入网关对数据分组流IPv6地址的快速安全的验证。原型系统实验表明,该方案能够以低开销实现数据分组源地址验证,是一种安全、可行的方案。

真实源地址框架下的特定源组播接收者认证

为了解决特定源组播接收者认证问题,在研究真实IPv6源地址验证体系结构的基础上,提出了一种该体系结构下的特定源组播接收者认证方案。该方案在与主机直连的路由器上加载了认证功能,能够对组播接收者的组播认证码进行认证,以此实现组播接收者的合法性验证,防止网络中组播服务盗用;设计了一种存储于三层交换机的组播端口列表,解决了同一局域网内组播接收者访问控制问题。通过仿真实验证明,该方案能够实现对组播接收者的认证功能,而且对组播效率影响不大。

DoS攻击的研究与源地址追踪

本文介绍了DoS攻击的发展概貌 ,并重点介绍了几种常见攻击方法的原理和防御措施 ,随后给出了国际上最新的网络攻击IP源地址追踪方案 ,最后介绍了由作者提出的带认证机制的入口包标记方法实现的IP源地址追踪。

IPv6源地址和网络业务验证体系结构

针对网络中存在的伪造源地址攻击和一些垃圾流量所造成的网络拥塞问题,提出了一种IPv6源地址和网络业务验证体系结构。该体系结构设置了一个管理服务器来安全管理密钥和处理用户请求,合法用户通过从管理服务器处获得的主机密钥来生成一个消息认证码,并将其嵌入数据包扩展首部中,关键路由器通过验证该消息认证码,来验证源地址和业务的合法性。该体系结构对真实IPv6源地址验证体系结构进行了扩展,实现了对主机源地址及网络业务合法性的同时验证,有效地减少了网络中的垃圾流量。

采用源地址验证选项的IPv6源地址验证研究

针对加密认证的源地址验证方法只能在目的主机或者目的自治系统之间进行的问题,提出一种IPv6源地址验证方案。设计逐跳选项扩展首部的新选项,用以存储源地址验证信息。利用Hash运算,将源IP地址生成验证信息,并添加到所设计的源地址验证选项中,从而使得数据包传输途径的每一跳路由器都可以对源地址进行检验。该方案将基于加密认证的源地址验证方法扩展到数据传输的全过程,并针对网络层次性结构,提出进一步的改进考虑。

基于Backscatter技术的假冒源地址攻击研究

假冒源地址攻击具有容易实施不易被追溯的特点,这种攻击行为在互联网上日益猖獗。网络安全正面临着前所未有的挑战,对假冒源地址攻击的研究是一项重要课题。文中概述假冒源地址攻击的主要特征;阐释Backscatter技术和ICMP协议的工作原理;从宏观和微观2个视角,研究CAIDA网络Telescopes工程所捕获PCAP流量的最新数据。借助于数据挖掘和统计分析技术,从PCAP流量数据中得到ICMP报文,并对所得报文跟踪分析了假冒源地址攻击信息。经过统计汇总,得出假冒源地址攻击所对应主要类型,并对集中度高的几种做了深入研究,通过对这些攻击类型的详细分析,探索了最新DoS/DDoS中假冒源地址攻击方式及其危害。最后总结全文并展望下一步研究工作。

使用带认证的入口包标记追踪IP源地址

本文首先介绍了几种国际上最新的网络攻击IP源地址追踪方案,随后提出了一种带认证机制的、对入口包进行标记的IP地址追踪方案,最后对几种方案进行了比较,说明入口包标记方案具有较好的特性。

基于Bloom滤波器的IP源地址假冒过滤

提出将Bloom滤波器结构应用到IP源地址假冒过滤技术中.利用Bloom滤波器存储的紧凑性,提高过滤效率,减少过滤成本.给出其伪代码,通过采集深圳大学城网络中心数据进行实验验证.实验结果表明,该方法简捷有效,且易于推广.

基于NP策略路由中源地址路由功能的设计与实现

阐述了一种基于网络处理器的源地址路由解决方案.该方案能够在不影响IP报文的承载效率的情况下,透明的实现大容量报文的转发能力,是一种行之有效的方案.

随机伪造源地址DDoS攻击下的合法地址识别方法

设计了一种用于统计源地址包数的高效数据结构E—CBF，基于此，提出了随机伪造源地址DDoS攻击发生时合法地址识别算法，其时间复杂性为O（1），同时仅需1MB的内存开销。然后在对识别误差分析的基础上，提出了识别参数调整算法，用以根据当前攻击规模，自动调整检测参数来满足检测精度需求。模拟实验和真实网络数据实验结果均表明，该方法在不同规模的攻击下能自动调整检测参数，快速准确地发现合法源地址。

IP源地址伪造问题研究

IP源地址伪造是Internet上多种攻击的基础.分析了IP源地址伪造的原理,深入探讨了与IP源地址伪造相关的攻击,并简述了其后果,给出了防御IP源地址伪造的方法和措施.